Подражатели имитируют новую атаку на цепочку поставок в попытке заработать вознаграждение

Подражатели имитируют новую атаку на цепочку поставок в попытке заработать вознаграждение

С помощью новой атаки ИБ-эксперту удалось взломать десятки крупных техкомпаний, включая Microsoft, Apple, PayPal и Tesla.

За последнюю неделю в репозитории NPM появилось более двух сотен новых пакетов, имитирующих PoC исследователя, которому удалось взломать более 35 крупных технологических компаний.

Речь идет о новом типе атаки на цепочку поставок под названием «несоответствие используемых зависимостей» или «подстановочная атака» (dependency confusion), ранее описанной ИБ-экспертом Алексом Бирсаном (Alex Birsan) и отдельно Microsoft. С помощью этой атаки исследователь смог запустить вредоносный код на системах десятков крупных технологических компаний, в том числе Microsoft, Apple, PayPal, Tesla, Uber, Yelp и Shopify.

Метод предполагает эксплуатацию конструктивной недоработки в безопасности хранилищ открытого кода для подмены частных зависимостей, используемых крупными компаниями. Зарегистрировав имена внутренних библиотек в общедоступных каталогах пакетов с открытым исходным кодом, Бирсан успешно внедрил вредоносный код в такие репозитории как npm, PyPI и RubyGems, из которых впоследствии его ПО распространялось дальше по цепочке доставки обновлений.

Как сообщили специалисты компании Sonatype, спустя 48 часов после публикации исследования Бирсана репозиторий NPM наводнили пакеты, имитирующие PoC эксперта, с пометкой «только для исследовательских целей». Специалисты полагают, что таким образом подражатели пытаются получить вознаграждения в рамках программ по поиску уязвимостей.

«Вполне ожидаемо, что другие «охотники за уязвимостями» или даже злоумышленники начнут загружать пакеты, и я не могу влиять на их действия», - пояснил Бирсан в разговоре с изданием Bleeping Computer.

По словам специалистов Sonatype, большинство из опубликованных пакетов-имитаторов содержат идентичный код, отправляющий DNS-запросы на сервер Бирсана, обладают той же структурой, наименованием версий и комментариями в коде. Хотя исследователи не обнаружили вредоносных пакетов, они предупредили, что злоумышленники вполне могут воспользоваться ситуацией в своих целях, и если администраторы открытых репозиториев не внедрят надежные механизмы проверки при публикации пакетов, «подстановочные атаки» станут серьезным подспорьем для более сложных вредоносных кампаний.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!